CFM 2.454/2026: Der neue Rechtsrahmen für KI im Gesundheitswesen und seine praktischen Auswirkungen

Tempo de Leitura: 3 minutes

Die Resolution CFM Nr. 2.454/2026 stellt einen Wendepunkt in der brasilianischen Medizin dar, da sie den Einsatz von Künstlicher Intelligenz im Sektor regelt. Ärzte, Kliniken und Krankenhäuser haben bis August 2026 Zeit, ihre technologischen Strukturen und Governance-Prozesse an diesen neuen Rahmen anzupassen, der darauf abzielt, die Patientensicherheit und die ethische Verantwortung des Fachmanns angesichts des Fortschritts digitaler Werkzeuge zu gewährleisten.

Der Kontext der Resolution CFM 2.454/2026

Die schnelle Integration von Systemen der Künstlichen Intelligenz (KI) in den klinischen Alltag hat unbestreitbare Vorteile gebracht, aber auch gefährliche regulatorische Lücken. Die Resolution CFM 2.454/2026 entsteht nicht isoliert; sie ist der operative Arm umfassenderer Gesetze wie des Allgemeinen Datenschutzgesetzes (LGPD) und des Rechtsrahmens für KI in Brasilien. Ziel ist es, generische ethische Prinzipien in praktische und prüfbare Verpflichtungen umzuwandeln.

Vor dieser Verordnung gab es eine Grauzone darüber, wer für einen von einem Algorithmus vorgeschlagenen Diagnosefehler verantwortlich sein würde. Nun stellt der Bundesärztekammerrat klar, dass die Technologie als Unterstützung dienen soll und niemals als Ersatz für das menschliche Urteilsvermögen. Für das Gesundheitsmanagement erfordert die Norm einen Übergang von einer passiven technologischen Akzeptanz zu einer aktiven digitalen Governance.

Die vier Säulen der Konformität in KI im Gesundheitswesen

Die neue Regulierung ist um vier grundlegende Achsen herum strukturiert, die das Handeln jeder Einrichtung, die Gesundheitsdienstleistungen erbringt, leiten sollen:

1. Ärztliche Aufsicht und menschliche Entscheidung

Dies ist die zentrale Säule. Die Resolution verbietet kategorisch die Delegation kritischer klinischer Entscheidungen ausschließlich an automatisierte Systeme. Das Konzept von “Human-in-the-loop” (Mensch in der Kontrolle) wird obligatorisch. Dies bedeutet, dass jeder von KI generierte Bericht, jede Triage oder jeder Behandlungsplan von einem ordnungsgemäß registrierten Arzt validiert werden muss, der die ethische und rechtliche Verantwortung für das angenommene Verhalten übernimmt.

2. Transparenz und Recht auf Information

Der Patient hat das Recht zu erfahren, wann seine Gesundheit von KI-Tools überwacht oder bewertet wird. Die Transparenz muss verständlich dokumentiert werden. Es reicht nicht aus, zu informieren, dass das System verwendet wurde; es ist notwendig, die Rolle der Technologie im Prozess klar zu erklären, wobei der Ärzte-Ethikkodex und die im LGPD vorgesehenen Rechte des Dateneigentümers zu respektieren sind.

3. Governance und Rückverfolgbarkeit von Systemen

Krankenhäuser und Kliniken müssen ein strenges Inventar aller verwendeten KI-Softwares führen. Dies umfasst komplexe radiologische Werkzeuge bis hin zu Kundendienst-Chatbots, die natürliche Sprache verwenden. Die Institution muss in der Lage sein, Folgendes nachzuweisen:

• Die Herkunft und Qualität der Daten, die das System speisen;
• Wer der technische Verantwortliche für die Überwachung des Werkzeugs ist;
• Welche spezifischen Zwecke jeder Algorithmus hat.

4. Risikomanagement und Vorfälle

Algorithmusfehler, Fehldiagnosen aufgrund von Datenverzerrungen oder Lecks sensibler Informationen müssen sofortige Reaktionsprotokolle haben. Das Risikomanagement muss präventiv sein, mit regelmäßigen Audits, um festzustellen, ob die KI unerwartetes oder diskriminierendes Verhalten zeigt.

Die geteilte Verantwortung zwischen Ärzten und Institutionen

Ein wichtiger Punkt der Resolution 2.454/2026 ist die Erweiterung des Verantwortungsbereichs. Sie betrifft nicht nur den Arzt, der die Krankenakte unterschreibt. Die Verantwortung wird nun mit den technischen Direktoren, Technologiemanagern und Krankenhausverwaltern geteilt.

“Das Fehlen einer internen KI-Governance-Richtlinie kann als institutionelle Fahrlässigkeit interpretiert werden, wodurch die Einrichtung nicht nur Sanktionen des CFM, sondern auch der ANPD und der Verbraucherschutzbehörden ausgesetzt ist.”

Dies impliziert, dass die Verträge mit Technologieanbietern (IT-Vendoren) sofort überprüft werden müssen. Haftungsklauseln, Service Level Agreements (SLA) und Transparenz über die Funktionsweise des Algorithmus (die sogenannte ‘Erklärbarkeit’) werden zu juristischen Überlebensartikeln für Gesundheitsdienstleister.

Schritt-für-Schritt zur Umsetzung bis August 2026

Die Frist für die Anpassung ist angesichts der Komplexität der Aufgabe kurz. Es wird ein sofortiger Aktionsplan empfohlen:

1. Inventarkartierung (Gap Analysis): Identifizieren Sie, welche Systeme bereits KI-Komponenten enthalten, die oft in Modulen von Legacy-Management-Software verborgen sind.
2. Datenaudit: Überprüfen Sie, ob die von der KI durchgeführte Datenverarbeitung vollständig mit dem LGPD übereinstmmt, um die ordnungsgemäße Behandlung sensibler Daten zu gewährleisten.
3. Erstellung der KI-Governance-Richtlinie: Erstellen Sie ein internes normatives Dokument, das die Grenzen der Nutzung der Technologie in der Institution definiert.
4. Schulung des Ärztepersonals: Informieren Sie die Ärzte über die ethischen und rechtlichen Implikationen der Validierung von Entscheidungen, die von Maschinen vorgeschlagen werden.

Schlussfolgerung

Die Ankunft der Resolution CFM 2.454/2026 stellt das Ende der Ära der unregulierten Experimente mit KI im brasilianischen Gesundheitswesen dar. Mehr als ein bürokratisches Hindernis sollte diese Norm als Chance für Gesundheitseinrichtungen gesehen werden, ihren Qualitäts- und Rechtssicherheitsstandard zu erhöhen.

August 2026 wird der Zeitpunkt sein, an dem die Nichteinhaltung zu einer untragbaren Belastung wird. Die Investition in spezialisierte Rechtsberatung und in robuste digitale Governance-Prozesse ist nicht mehr optional; sie ist die grundlegende Voraussetzung für die Ausübung moderner und ethischer Medizin.